Unverschlüsseltes Sicherheitsrisiko Shell

  • Es gibt 2 Dinge die mich am sehr stören:


    Shelly benutzt kein HTTPS

    Shelly verwendet ein unverschlüsseltes WLAN Accesspoint als ersteinstellung.


    Als folge sendet man das einzustellende WLAN-Kennwort für die Verbindung als Klartext an Shelly. Der ist mit einem Standart WLAN-Sniffer quasi sofort als Klartext erkennbar (sowas kann man sich als Linux-USB-Stick fertig startfähig runterladen und sein Notebook damit starten ohne dafür einen Computer neu installieren zu müssen)


    Wenns klappt versuche ich das nun damit zu umgehen das ich den Shelly erst auf ein verschlüsseltes WLAN das ich vom Handy bereitstelle verbinde, und dann am Handy (in der Hoffnung dass dies zumindest für die meisten bereits zu mühsam wäre wenn auch möglich) per verschlüseltes WLAN den schlüssel für das echte WLAN bei mir.


    Es wäre schon cool wenn der Shelly on the Fly für die erste Verbindung zwischen Browser und Client eine sichere Verbindung herstellen würde. Falls das Shellymodul Bluetooth fähig ist, wäre es doch auch cool wenn es die erste verbindung per bluetooth erlaubt mit einer kleinen Reichweite (ich weiß nicht sicher aber ich glaube das Bluetooth von Hause aus eine versclüsselung hat? zumindest kann man hier hoffen das bei max 15 Meter Reichweite niemand auf der Straße das abhört).

  • Shelly benutzt kein HTTPS

    ja, aber hättest du die passende Infrastruktur und das Wissen um eine zertifikatsbasierte Weboberfläche dann auch richtig zu realisieren? (Certificate Authority konfigurieren, Sperrlisten-Verteilpunkte einrichten..)


    Viele Anwender sind ja schon mit dem Hinzufügen ins eigene Wifi überfordert.

    Davon ab: Die MCU (ESP8266) kostet unter 2 Euro/Stück.. Die Rechenleistung ist dementsprechend sehr begrenzt. TLS-Verschlüsselung kostet aber ordentlich Rechenleistung. Deshalb wird sie aktuell nur für die Verbindung zwischen Shelly & Shelly.cloud benutzt.


    Als folge sendet man das einzustellende WLAN-Kennwort für die Verbindung als Klartext an Shelly. Der ist mit einem Standart WLAN-Sniffer quasi sofort als Klartext erkennbar (sowas kann man sich als Linux-USB-Stick fertig startfähig runterladen und sein Notebook damit starten ohne dafür einen Computer neu installieren zu müssen)

    Ja, aber wie oft macht man das? Einmalig beim ersten Verbinden mit dem eigenen WLAN.. Oder sitzt bei dir jemand mit Wifi-Sniffer permament vor der Haustür und wartet darauf, dass du Shellys einbindest?

    10x Shelly1, 7x Shelly 1PM, 2xShelly 1L, 9x Shelly 2.5, 3x Shelly2, 1x Shelly EM, 2x ShellyDimmer, 3x ShellyDimmer2, 1x Shelly 3EM, 1x Shelly4Pro, 1x Shelly Button1, 4x Shelly Duo, 1x, ShellyDuo G10, 3x ShellyVintage, 1x Shelly Bulb, 8x ShellyDuoG10RGB, 1x ShellyPlug, 2x ShellyRGBW2, 5x Shelly PlugS. 1x Shelly Sense, 3x Shelly i3, 1x Shelly Gas, 4x Shelly H&T, 1x Shelly Flood, 2x ShellyDoor&Window2, 3x TempAddon, 1x ShellyMotion

    Edited once, last by Seven of Nine ().

  • Also ich würde stutzig werden, wenn jemand permanent mit seinem Laptop vor unserem Haus sitzt, um den passenden Moment abzuwarten.


    Da die Shellies in einem eigenem VLAN hängen und eine separate SSID haben, würde ich zum einen sehen, dass da eine unbekannte MAC-Adresse im Netzwerk ist, der Angreifer könnte nur auf mein SmartHome-Netzwerk zugreifen, was schlecht für eine Schließanlage wäre, die per WLAN gesteuert werden kann und wenn es nur um Internet geht, dann darf er gerne meinen dafür eingerichteten freien Gastzugang nach Bestätigung meiner NUBs, bzgl. der Störerhaftung, gerne verwenden.


    Wenn du Angst hast, dann richte eine SSID zur Einrichtung ein und schiebe die Shellies danach zu einer anderen SSID und deaktiviere die SSID zur Einrichtung wieder.


    Ich persönlich halte diese Bedenken jedoch für übertrieben. Anders wäre es in einer Firma mit vielen Mitarbeitern, denen man nicht trauen kann oder viele Leute mit Laptop und Sniffer vor der Firma sitzen, wogegen die IT-Abteilung aber Vorkehrungen treffen wird.

  • Mokrator Ich kann die Bedenken für die kurze Anmeldeprozedur nicht ganz verstehen.

    Andere Möglichkeit, melde die Geräte im Gast-Wlan an.

    Das ist grundsätzlich eingeschränkt.

    Bei mir geht das problemlos.

    Noch besser sind die xyz Geräte über Smartlife usw. die senden den Schlüssel unverschlüsselt übers Internet (war zumindest mal so)

  • Dann kann man trotzdem den Schlüssel für das Gastnetzwerk abfangen, in dem sich dann alle Shellies befinden. Da man selbst denen Befehle senden können möchte, werden die dann erreichbar sein (Kommunikation zwischen den Geräten zugelassen, z.B. allein schon für HTTP-Actions). Die können zwar per Passwort geschützt werden, aber sicherlich gefällt einem Sicherheitsfanatiker sowas nicht.

  • Also ich halte das Ganze für eine sehr, sehr theoretische Bedrohung.


    Sollte wirklich jemand über diesen Weg gehackt werden, lasst es mich wissen.


    Die Gefahr sich über die Cloud, eMail oder allgemein über das Internet was einzufangen ist deutlich größer.;)

  • Sehe ich genauso. Unser WLAN reicht überschaubar bis zu den Nachbarn gerade so auf die Terrasse und ich habe einen Accesspoint außen am Haus montiert. Wer soll Interesse daran haben in mein WLAN zu kommen und dann die Info haben, wann ich einen Shelly neu einbinden werde?


    Früher war die Welt besser. Brauchte man vor 20 Jahren unterwegs Internet, dann ist man möglichst vor einen Wohnblock gefahren und hat eigentlich immer ein nicht geschütztes WLAN gehabt, worüber man kurz etwas nachsehen konnte. Leider haben es wohl zu viele missbraucht und es kamen die Passwörter.


    Sofern kein Interesse darin besteht ins WLAN zu kommen, würde ich mir keine Gedanken machen.

    Anders sieht es mit einer Firewall für das Internet aus. Auf eine Telefonanlage hat man täglich ca. 20 externe IPs, die versuchen auf deine Kosten Gespräche aufzubauen. Dieses wird bei mir direkt in der Firewall abgefangen, so dass die Anfragen nicht mehr bis zu der zweiten Firewall der Telefonanlage kommen - es sind nur Anfragen über die IPs der SIP-Provider freigegeben. Ich weiß nun nicht, wie z.B. eine FritzBox dieses handelt. Aber das wären Dinge, um die ich mir Sorgen machen würde.


    Aber wie bereits zuvor geschrieben. Richte eine SSID zur Anmeldung der Shellies ein, melde die dort an und verschiebe die dann zur richtigen SSID und schalte die SSID zur Einrichtung dann wieder ab.

    Oder du änderst temporär das Passwort für die SSID, meldest die Shellies an, änderst dann das Passwort in den Shellies auf das korrekte Passwort und änderst dann dass Passwort für die SSID zurück.

  • Shelly benutzt kein HTTPS

    Shelly verwendet ein unverschlüsseltes WLAN Accesspoint als ersteinstellung.

    Ist bekannt, stört hier aber keinen, du darfst auch auf den Erwerb verzichten, stört dann auch keinen.

    Sonst noch was? Dann kriech ich jetzt wieder unter meinen Stein, schönen Rest vom 3 Advent. 8)

    MfG Lötauge

    allen eine gute Zeit im Lockdown und bleibt gesund.


    4x Shelly1 (auch im Button), 2x Shelly2.5, 2x Shelly Dimmer, 1x Shelly Duo, 2x UNI, 3x OBI Steckdose mit Tasmota. Shelly App, IOBroker auf RaspberryPi4B(4GB), Fritz!Box7590, Fritz!Repeater2400, 2x Fritz!DECT301 HKR, ConbeeII Stick für Xiomi Sensoren

  • Der Vorschlag, eine temporäre SSID für ein verschlüsseltes, temporäres WLAN/VLAN unverschlüsselt an den kleinen Shelly zu übertragen, um dann richtig verschlüsselt auf das ganz sicher verschlüsselte Netzwerk zu wechseln, ist genial!


    Ich stecke deine SSID in deine SSID!


    Wie viele Loops sind dann nötig, um ganz sicher zu sein? :/


    PS: Hab‘s extra klein geschrieben, damit das nicht gleich Jeder lesen kann...

    Mit der Elektrik ist das doch ganz einfach. Alles, was man sich merken muss: Rot ist Schwarz und Plus ist Minus, dann klappt‘s immer:!: Und beim Programmieren hat man auch nur Nullen und Einsen, also wie kompliziert kann das schon sein:?:

  • Wir schreiben hier Tips und unsere Meinung:)

    Was ist denn mit dem "Ersteller vom Thema":?:

    Wäre für mich auch nicht schlimm, wenn ein Hacker mit viel Aufwand meine Shellys steuern könnte. Ich denke da wird der nicht reich durch8)

  • Als jemand der gerade erst seine ersten Shellys in Betrieb genommen hat muss ich sagen: es ist super einfach! Und super einfach ist das was den meisten Leuten gefällt und auch DAUs bewerkstelligen können.

    Kommt jetzt Sicherheit als Verschlüsselung hinzu, werden schon die ersten wieder nicht klar kommen und scheitern. Und motzen....


    Damit sind wir bei der simplen Abwägung: Benutzerfreundlichkeit (Einfachheit) vs. Sicherheit, das alte und fortwährende Thema. In Anbetracht der doch eher unwahrscheinlichen Konstellation das gerade in dem Moment wenn man einen Shelly einbindet ein Unbefugter mit böswilligen Absichten seinen Sniffer laufen hat, dürfte man sich beruhigt zurücklehnen können ;-)

  • Da spiel ich lieber Lotto, die Gewinnchance ist da sicher höher.

    MfG Lötauge

    allen eine gute Zeit im Lockdown und bleibt gesund.


    4x Shelly1 (auch im Button), 2x Shelly2.5, 2x Shelly Dimmer, 1x Shelly Duo, 2x UNI, 3x OBI Steckdose mit Tasmota. Shelly App, IOBroker auf RaspberryPi4B(4GB), Fritz!Box7590, Fritz!Repeater2400, 2x Fritz!DECT301 HKR, ConbeeII Stick für Xiomi Sensoren